Integrated Risk Management. Platform. Tutti i diritti riservati ESC 2 srl

Transcript

1 Integrated Risk Management Platform Tutti i diritti riservati ESC 2 srl

2 ESC 2 Srl Roma Via C. Colombo, Milano Via Fabio Filzi, info@esc2.it T F twitter.com/ ESC2_Security linkedin.com/esc2 Security 02

3 Infosync - Integrated Risk Management IL CONTESTO La protezione dei dati da minacce che ne pregiudicano l autenticità, l integrità, la riservatezza e la disponibilità è obiettivo fondamentale di ogni organizzazione che gestisca asset ed informazioni, oltre che parte integrante del Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica, in quanto le informazioni costituiscono un valore intrinseco all organizzazione, pubblica o privata. Obiettivo strategico di ogni organizzazione è quello di evolvere i processi di Governo della Sicurezza attraverso un approccio basato sull analisi e sulla gestione dei principali scenari di rischio che interessano la riservatezza, la disponibilità e l integrità delle informazioni, oltre che scenari di rischio tipici delle Infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema Paese. L adozione di un processo integrato di Information Security e Privacy Governance basato sul rischio, oltre ad essere un principio alla base dei più recenti provvedimenti, norme e standard nazionali ed internazionali in materia di privacy e sicurezza informatica. Con la rapida evoluzione delle tecnologie dell informazione e della comunicazione, i sistemi informatici hanno assunto una importanza centrale nell assetto organizzativo e funzionale di tutte le realtà aziendali. INDICE In questo contesto operativo, caratterizzato da continui cambiamenti delle tecnologie e dalla diffusione di processi di business a sempre più elevato contenuto digitale, il mancato presidio della sicurezza delle risorse, informatiche e non, si traduce in impatti diretti ed indiretti potenzialmente rilevanti sugli obiettivi strategici di ogni organizzazione, oltre che sui valori economico patrimoniali. Il Contesto Gartner Mentions Infosync I Moduli Infosync

4 La diffusione delle tecnologie digitali fondate sul paradigma Internet, quali il Cloud Computing, nonché l impiego di modelli di servizi in Outsourcing, hanno favorito il ridisegno dei confini organizzativi delle aziende, più aperte e connesse con altri soggetti e con i propri clienti, creando da un lato nuove opportunità di business, ma concretizzando dall altro nuove tipologie di scenari di rischio da gestire. Un approccio integrato basato sui rischi consente di supportare i processi di pianificazione economico - finanziaria degli interventi di implementazione delle misure tecniche ed organizzative necessarie per la mitigazione degli stessi, sia per le componenti informative che per quelle materiali e strumentali, oltre che per la tutela della sicurezza del personale (dell organizzazione e del parco dipendenti/ clienti/fornitori), anche attraverso la definizione di metriche adeguate per la valutazione del potenziale impatto, diretto ed indiretto, di eventi accaduti o potenziali (attività di detect, remediation, danno di immagine, perdita di credibilità/ affidabilità/competitività, costi dei disservizi, eventuali perdite umane, ecc.). Con questa consapevolezza e con l obiettivo di supportare la governance integrata dei rischi, ESC 2 ha progettato e realizzato la piattaforma Infosync, una soluzione di Integrated Risk Management, basata su linee guide, standard e best-practice riconosciuti, quali: ITIL, COBIT 5, ISO27000 Family, NIST Cybersecurity Framework. 04

5 Infosync - Integrated Risk Management GARTNER MENTION Infosync è l unica soluzione a livello europeo ad essere stata menzionata nel report Gartner Critical Capabilities for IT Risk Management Solutions August 2018 tra i principali vendor di IT Risk Management solutions. 05

6 L inclusione di INFOSYNC nel report 2018 di Gartner sulle Critical Capabilities ITRM, in continuità con la Notable Mention ricevuta nel Magic Quadrant for IT RM del 2017, è un importante riconoscimento del percorso di crescita della soluzione Infosync per l IT Risk Management in questi anni, e premia la costante attenzione alle evoluzioni di mercato e normative, ed alle esigenze funzionali dei clienti da parte del team ESC 2. In particolare, come descritto nel report di Gartner, abbiamo reso disponibile la versione Cloud con canone in SaaS per i clienti che preferiscono l agilità di attivazione e un modello con costi OPEX inclusivo della maintenance all acquisto di una licenza perpetua e della maintenance annua, e che non hanno necessità della soluzione On Premises. Inoltre abbiamo rilasciato il modulo di reporting avanzato basato su Tableau con molti template immediatamente disponibili e personalizzabili, rendendo molto più veloce e più aderente alle esigenze dei nostri clienti l intero ciclo di reporting strategico. Credo che ci sia un grande spazio di mercato per la soluzione INFOSYNC sia in Italia, paese in cui siamo l unico vendor che ha la sede principale, che in Europa. Il commento dell Ing. Claudio Ragno, dopo la pubblicazione del report in data 20 Agosto

7 Infosync - Integrated Risk Management Descrizione della soluzione Infosync Infosync è la piattaforma di Integrated Risk Management (IRM) a supporto del governo della gestione delle diverse attività di Information Security e Privacy Risk Management, incluse le attività di analisi delle minacce e delle vulnerabilità, tecnologiche e non, l analisi del rischio delle risorse informatiche (a livello applicativo, infrastrutturale e network) e dei rischi collegati alle terze parti coinvolte nel processo (esempio vendor, fornitori di servizi, etc.). Obiettivi e benefici La piattaforma Infosync ha l obiettivo di definire un modello di governance dei rischi operativi collegati alla gestione delle risorse ICT (Information and Communication Technology) nel ciclo di produzione del valore di una organizzazione. La piattaforma Infosync è stata sviluppata secondo i seguenti principi: Visione olistica ed integrata del rischio, costruita attraverso la coesione e la misura di tipologie diverse di scenari, riguardanti il cambiamento, l evoluzione, l operation dell infrastruttura e dei servizi ICT, nonché concernenti le modalità di incident, problem e security management; Reporting unificato agli organismi di supervisione e dal top management, circa lo stato di rischio IT in rapporto allo stato delle risorse informatiche nonché alla modalità e pratiche adottate per erogare i servizi offerti; Centralità del rischio nei processi decisionali, volti a far evolvere in maniera sostenibile e coerente con gli obiettivi degli stakeholder, l infrastruttura tecnologica e di servizio; Monitoraggio e ottimizzazione dei rischi assunti per il raggiungimento sostenibile degli obiettivi definiti; Aderenza agli standard e best practice internazionali. Nello specifico il workflow Infosync integra gli scenari di rischio IT (gestione ed il ciclo di vita dell infrastruttura tecnologica - Service Portfolio Management, Design, Development, Test e Rollout, Operations) con quelli di Information e Operational Security, oltre che con gli scenari di rischio inerenti il trattamento dei dati personali. Le valutazioni del rischio tecnologico sono inoltre subordinate al modello di controllo e monitoraggio interno, realizzato attraverso piani di controllo, i processi di Business Impact Analysis e Business Continuity oltre che all analisi e gestione degli incidenti storici e potenziali. 07

8 I benefici della piattaforma Infosync si possono così sintetizzare: SINTESI E RAPPRESENTAZIONE DELLE PERFORMANCE E DEL RISCHIO IT E DI SICUREZZA - Raccolta ed elaborazione automatica delle informazioni, secondo schemi e modelli di integrazione definiti. - Processi di IT Risk Management integrati, flessibili e configurabili - Evidenza delle aree più critiche al fine di identificare le migliori opzioni di gestione e trattamento. CENTRALIZZAZIONE DEL PROCESSO DECISIONALE E DEI PIANI DI REMEDIATION Supporto all indirizzo della strategia ed alla pianificazione, riducendo gli sforzi, il tempo e le risorse utilizzate per migliorare i livelli di performance e di sicurezza IT. MONITORAGGIO DELL EFFICACIA DELLE SOLUZIONI IMPLEMENTATE - Monitoraggio dello stato della sicurezza IT attraverso Security Key Performance Indicator e Key Risk Indicator. - Metriche personalizzabili e gestibili in autonomia attraverso interfaccia utente. - Processi di alerting e comunicazioni automatiche e schedulabili. CONDIVISIONE DELLE INFORMAZIONI - Condivisione profilata delle informazioni, all interno ed all esterno dell organizzazione. - Gestione e controllo degli accessi ai dashboard e della visibilità delle informazioni all interno dei dashboard, attraverso funzioni di profilazione della visibilità e di integrazione ai sistemi di access management. 08

9 Infosync - Integrated Risk Management Features e Capabilities Infosync si basa sui seguenti paradigmi: Organizzazione funzionale modulare che consente un piano di attivazione delle funzionalità progressiva nel medio termine, in grado di seguire la roadmap evolutiva del framework di Integrated Risk Management; architettura flessibile in grado di supportare i processi di integrazione con i sistemi e le soluzioni (attuali e future) di Cybersecurity, IT e Network Operation, oltre che con altre fonti dati quali l amministrazione o di entità terze interessate nel processo; modello dati solido e flessibile, in grado di normalizzare le informazioni prodotte o raccolte dai diversi processi di Cybersecurity e IT Operation; workflow di IT e Cyber Risk Management che consente di gestire le diverse attività di security assessment (interne ed esterne) e risk management, secondo un modello basato sulla identificazione e controllo delle attività; motore di data-analytics in grado di consentire un analisi visuale delle informazioni in modelli di reporting definiti (eg. Key Performance Indicator, Key Risk Indicator) e fornisce funzioni che aiutano a definire strutture facilmente personalizzabili in base al mutare delle esigenze strategiche ed operative. 09

10 Infosync è in grado di supportare le integrazioni con i sistemi di Cyber-Risk Management più comuni, quali: CMDB (Application Security Testing, Secure Configuration Management), TVM (Threat and Vulnerability Management), TIP (Threat Intelligence Platforms), IAM (Identity and Access Management) attraverso Active Directory (AD), LDAP, o altri servizi. Inoltre l applicazione supporta processi RBAC (roles-based access controls) alle funzioni ed ai contenuti. La soluzione garantisce l integrazione con sistemi SIEM (Security Information Event Management), SOAR (Security Orchestration, Automation and Response), UEBA (User and Entity Behavior Analytics), DLP (Data Loss Prevention). 10

11 Infosync - Integrated Risk Management La soluzione, attraverso le integrazioni descritte, abilita i processi di analisi ed identificazione dei rischi in modalità automatica e near real time, secondo un approccio di valutazione continua dell efficacia dei controlli, della compliance, e del rischio residuo per ciascun asset o processo. Tali processi sono supportati da un modello di rappresentazione dell Enterprise Architecture (rappresentazione della struttura di un organizzazione, dei suoi processi operativi, dei sistemi informativi a supporto, dei flussi informativi, delle tecnologie utilizzate, delle localizzazioni geografiche) che consente, ove possibile, di gestire le relazioni tra gli asset IT, a differenti livelli, con i processi di gestione e trattamento delle informazioni, ovvero risorse organizzative e processi dell organizzazione. 11

12 Infosync dispone di template di workflow pre-configurati per facilitare i processi di risk assessment, control assessment ed audit (interni ed esterni), oltre che la comunicazione tra i diversi referenti IT, Security e Privacy compliance. La soluzione consente di mappare i controlli o le policy interne rispetto a librerie di requisiti specifici riferibili a framework, standard e best-practice relativi contesti IT, cyber, privacy e di business continuity, disponibili out-of-the-box o facilmente configurabili a sistema. Infosync abilita i processi qualitativi e quantitativi di risk assessment. I rischi sono collegabili ai processi ed alle funzioni di alto livello dell organizzazione, attraverso un processo di modellazione della minacce e vulnerabilità rispetto a processi di risk assessment per contesti specifici e differenti. La soluzione dispone di processi di mitigazione del rischio supportati da processi di definizione di azioni (owner, scadenza, responsabile, budget necessario, priorità) e attraverso modelli automatici di definizione delle priorità di implementazione delle azioni (eg. Compliance, Livelli di mitigazione, capacità delle soluzioni di sicurezza di mitigare il rischio, etc.), ovvero attraverso 12 integrazione di strumenti di project management in uso o utilizzabili dall amministrazione.

13 I Moduli Infosync AM RM DP GA CE SA Asset Management - Modulo base della piattaforma, che consente la catalogazione e la gestione delle informazioni (inventory) relative agli Assets, Asset Container e ai Processi Processi Strategici (Competitivi o di innovazione e trasformazione), Processi Operativi e di Supporto. Consente l integrazione con sistemi di Asset Management di terze parti finalizzata alla valorizzazione delle dimensioni di impatto di sicurezza e di business. Abilitazione dei processi di Asset Experience (Visione Asset-centrica dei processi di risk ed Event Analysis) e di gestione dell Enterprise Architecture, che garantisce anche una mappatura dei flussi informativi tra i diversi asset (mapping delle relazioni tra gli oggetti catalogati nel modulo AM). Risk Management - Modulo di gestione dei precessi di Risk Management, attraverso un processo basato su attività di assessment (contesto o dominio) periodiche (stage), caratterizzate da: definizione della libreria di assessment (eg , PSD2, NIST, etc.) e dei perimetri di compliance specifica per ogni contesto; definizione del perimetro (insieme di Asset); definizione dei ruoli che partecipano all assessment; gestione delle fasi operative e cicliche di Risk Management (risk identification, risk analysis e risk evaluation), What-If Analysis, Action Plan e Monitoring. Data Protection (GDPR) - Modulo di gestione dei processi di Data Protection finalizzato al supporto della compliance alla nuova norrmativa Europea GDPR - General Data Protection Regulation e di integrazione con i processi di Risk Management della piattaforma. Gap Analysis e Audit - Modulo per la gestione processi di Gap-Analysis e Compliance Assessment oltre che dei programmi di Audit (Internal Audit e Audit di Terze Parti e Fornitori), anche attraverso web-portale per esecuzione di self-assessment da parte delle terze parti interessate. Collector Engine - Modulo di gestione dei processi di integrazione con le fonti dati esterne. Il modulo permette di definire e schedulare i processi di Collection e di effettuare i processi di trasformazione e normalizzazione necessari all integrazione. Security Analytics - Modulo di Data Analytics, per processi di Dashboarding, Monitoring, Insight e Discovery dei dati integrati nel modello dati proprietario (Risk Hub), a supporto del top Management ed Operational Reporting. Early Warning - Funzioni a supporto del processo di gestione proattiva delle vulnerabilità e delle minacce della sicurezza, attraverso processi di correlazione automatizzata delle informazioni riferite agli asset impattati con i feed pubblicati dal NIST (National Insititute for Standard and Technologies) e degli indicatori di compromissione, studiata per offrire una soluzione basata su soluzioni open-source ed in grado di integrare soluzioni di Vulnerability Assessment di mercato (eg. Tenable, Qualys, etc). 13

14 Tutti i diritti riservati ESC 2 s.r.l.